| CVSS मेटा अस्थायी स्कोर | वर्तमान एक्सप्लॉइट मूल्य (≈) | CTI रुचि स्कोर |
|---|---|---|
| 2.7 | $0-$5k | 0.00 |
सारांश
एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, OpenSSL में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन DH Certificate Handler घटक का हिस्सा है। यह हेरफेर कमजोर एन्क्रिप्शन उत्पन्न करता है। यह कमजोरी CVE-2015-0205 के नाम से सूचीबद्ध है। कोई एक्सप्लॉइट उपलब्ध नहीं है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है।
विवरण
एक कमजोरि जिसे आलोचनात्मक के रूप में वर्गीकृत किया गया है, OpenSSL में पाई गई है। प्रभावित है एक अज्ञात फ़ंक्शन DH Certificate Handler घटक का हिस्सा है। यह हेरफेर कमजोर एन्क्रिप्शन उत्पन्न करता है। CWE का उपयोग करके समस्या को घोषित करने से CWE-310 प्राप्त होता है। यह समस्या 01/06/2010 में पेश की गई थी. कमजोरी प्रकाशित की गई थी 08/01/2015 द्वारा Karthikeyan Bhargavan के साथ Prosecco के रूप में secadv_20150108.txt के रूप में सलाह (वेबसाइट). यह सलाह openssl.org पर डाउनलोड के लिए साझा की गई है। सार्वजनिक रिलीज़ को विक्रेता के साथ समन्वित किया गया है।
यह कमजोरी CVE-2015-0205 के नाम से सूचीबद्ध है। CVE असाइनमेंट 18/11/2014 को हुआ। कोई तकनीकी विवरण उपलब्ध नहीं है। इस भेद्यता की लोकप्रियता औसत से कम है। कोई एक्सप्लॉइट उपलब्ध नहीं है। इस समय एक एक्सप्लॉइट की मौजूदा कीमत might be approx. USD $0-$5k है। अगर T1600 मौजूद है, तो MITRE ATT&CK प्रोजेक्ट इस अटैक तकनीक को T1600 के रूप में घोषित करता है। एडवाइजरी में उल्लेख किया गया है:
An OpenSSL server will accept a DH certificate for client authentication without the certificate verify message. This effectively allows a client to authenticate without the use of a private key. This only affects servers which trust a client certificate authority which issues certificates containing DH keys: these are extremely rare and hardly ever encountered.
इस भेद्यता को कम से कम 1682 दिनों तक गैर-सार्वजनिक ज़ीरो-डे एक्सप्लॉइट के रूप में संभाला गया। 0-डे के रूप में अनुमानित अंडरग्राउंड कीमत लगभग $5k-$25k थी. वल्नरेबिलिटी स्कैनर Nessus ID 81391 वाला एक प्लगइन प्रदान करता है (F5 Networks BIG-IP : OpenSSL vulnerability (SOL16135)), जो लक्ष्य वातावरण में खामी की उपस्थिति का पता लगाने में मदद करता है। इसे F5 Networks Local Security Checks परिवार में असाइन किया गया है। प्लगइन l टाइप के कॉन्टेक्स्ट में रन हो रहा है। यह 0 पोर्ट का उपयोग कर रहा है. वाणिज्यिक वल्नरेबिलिटी स्कैनर Qualys इस समस्या का परीक्षण 350233 प्लगइन से कर सकता है (Amazon Linux Security Advisory for openssl: ALAS-2015-469).
1.0.0p , 1.0.1k संस्करण में अपग्रेड करना इस समस्या को दूर कर सकता है। प्रभावित घटक को अपग्रेड करने की सिफारिश की जाती है। कमजोरी के उजागर होने के 2 महीने बाद एक संभावित निवारण उपाय जारी किया गया है। एडवाइजरी में निम्नलिखित टिप्पणी है:
The fix was developed by Stephen Henson of the OpenSSL core team.
कमजोरी अन्य कमजोरी डेटाबेस में भी प्रलेखित है: SecurityFocus (BID 71941), X-Force (99708), SecurityTracker (ID 1031513), Vulnerability Center (SBV-56880) , Tenable (81391).
उत्पाद
प्रकार
नाम
संस्करण
- 1.0.0a
- 1.0.0b
- 1.0.0c
- 1.0.0d
- 1.0.0e
- 1.0.0f
- 1.0.0g
- 1.0.0h
- 1.0.0i
- 1.0.0j
- 1.0.0k
- 1.0.0l
- 1.0.0m
- 1.0.0n
- 1.0.0o
- 1.0.1a
- 1.0.1b
- 1.0.1c
- 1.0.1d
- 1.0.1e
- 1.0.1f
- 1.0.1g
- 1.0.1h
- 1.0.1i
- 1.0.1j
लाइसेंस
समर्थन
- end of life (old version)
वेबसाइट
- उत्पाद: https://www.openssl.org/
CPE 2.3
CPE 2.2
CVSSv4
VulDB वेक्टर: 🔍VulDB विश्वसनीयता: 🔍
CVSSv3
VulDB मेटा बेस स्कोर: 3.1VulDB मेटा अस्थायी स्कोर: 2.7
VulDB मूल स्कोर: 3.1
VulDB अस्थायी स्कोर: 2.7
VulDB वेक्टर: 🔍
VulDB विश्वसनीयता: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| सदिश | जटिलता | प्रमाणीकरण | गोपनीयता | अखंडता | उपलब्धता |
|---|---|---|---|---|---|
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
| अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
VulDB मूल स्कोर: 🔍
VulDB अस्थायी स्कोर: 🔍
VulDB विश्वसनीयता: 🔍
NVD मूल स्कोर: 🔍
शोषण
वर्ग: कमजोर एन्क्रिप्शनCWE: CWE-310
CAPEC: 🔍
ATT&CK: 🔍
भौतिक: नहीं
स्थानीय: नहीं
दूरस्थ: हाँ
उपलब्धता: 🔍
स्थिति: असिद्ध
EPSS Score: 🔍
EPSS Percentile: 🔍
मूल्य पूर्वानुमान: 🔍
वर्तमान मूल्य अनुमान: 🔍
| 0-Day | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
|---|---|---|---|---|
| आज | अनलॉक करना | अनलॉक करना | अनलॉक करना | अनलॉक करना |
Nessus ID: 81391
Nessus नाम: F5 Networks BIG-IP : OpenSSL vulnerability (SOL16135)
Nessus Arquivo: 🔍
Nessus जोखिम: 🔍
Nessus परिवार: 🔍
Nessus Context: 🔍
Nessus Port: 🔍
OpenVAS ID: 801612
OpenVAS नाम: CentOS Update for openssl CESA-2015:0066 centos7
OpenVAS Arquivo: 🔍
OpenVAS परिवार: 🔍
Qualys ID: 🔍
Qualys नाम: 🔍
खतरे की खुफिया
रुचि: 🔍सक्रिय अभिनेता: 🔍
सक्रिय APT समूह: 🔍
प्रतिव्यवस्था
सिफारिश: अपग्रेडस्थिति: 🔍
प्रतिक्रिया समय: 🔍
0-दिवसीय समय: 🔍
उजागर समय: 🔍
अपग्रेड: OpenSSL 1.0.0p/1.0.1k
पैच: github.com
समयरेखा
01/06/2010 🔍22/10/2014 🔍
18/11/2014 🔍
07/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
08/01/2015 🔍
09/01/2015 🔍
11/02/2015 🔍
17/02/2015 🔍
20/07/2015 🔍
01/03/2016 🔍
02/03/2022 🔍
स्रोत
उत्पाद: openssl.orgसलाह: secadv_20150108.txt
शोधकर्ता: Karthikeyan Bhargavan
संगठन: Prosecco
स्थिति: पुष्टि की गई
पुष्टि: 🔍
समन्वित: 🔍
CVE: CVE-2015-0205 (🔍)
GCVE (CVE): GCVE-0-2015-0205
GCVE (VulDB): GCVE-100-68519
OVAL: 🔍
X-Force: 99708 - OpenSSL DH certificate security bypass, Low Risk
SecurityFocus: 71941 - OpenSSL CVE-2015-0205 Man in the Middle Security Bypass Vulnerability
SecurityTracker: 1031513
Vulnerability Center: 56880 - [cisco-sa-20150310-ssl, cpuapr2015-2365600] OpenSSL Remote Bypass Restrictions due to Acceptance of a DH Certificate Without Verification, Medium
यह भी देखें: 🔍
प्रविष्टि
बनाया गया: 09/01/2015 09:46 AMअद्यतनित: 02/03/2022 12:18 AM
परिवर्तन: 09/01/2015 09:46 AM (80), 25/08/2018 09:13 AM (16), 02/03/2022 12:18 AM (4)
पूर्ण: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
अभी तक कोई टिप्पणी नहीं भाषाएँ: hi + ne + en.
टिप्पणी करने के लिए कृपया लॉगिन करें